fbpx

Podkast 22T19 Profilowanie IoT

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym odcinku mojego podkastu. Dzisiejszy temat to profilowanie urządzeń IoT. Weźmy za przykład takie urządzenie, chyba najbardziej typowe – kamera. Kamera IP najczęściej nie posiada możliwości podłączenia i wykorzystania suplikanta 802.1x, czyli nie będziemy jej mogli wykryć przez zaufany sposób, czy znany taki najbardziej wiarygodny sposób uwierzytelniania do sieci.

Co nam pozostaje? Możemy oczywiście po MAC adresie uwierzytelniać, ale nie należy tego mechanizmu traktować jako mechanizm bezpieczeństwa. Natomiast poziom bezpieczeństwa można podnieść przez profilowanie. Czyli mamy urządzenie, które nie ma suplikanta i jest dla nas MAC adresem i chcielibyśmy dowiedzieć się czegoś więcej o tym urządzeniu, żeby przypisać odpowiednią politykę dostępu do sieci. Profilowanie opiera się typowo na opcjach DHCP. Bazuje na tym, że każde urządzenie, które jest oparte o inny system operacyjny, innego klienta DHCP, jest rozróżniane na poziomie serwera DHCP, ponieważ używa innych opcji, innego zestawu parametrów.

Ten mechanizm jest powszechnie używany do profilowania urządzeń, czyli dzięki temu schematowi, czyli wiemy np, że kamera 1% pracuje najczęściej na systemie operacyjnym i zachowuje się w jeden konkretny sposób i dzięki temu, jeśli taki profil jest stworzony na naszym urządzeniu profilującym (najczęściej są to osobne, dedykowane appliance lub zintegrowana funkcjonalność z systemem RADIUSowym) to wtedy możemy powiedzieć, że jest to kamera tej firmy. Jeśli jeszcze jest jakieś rozróżnienie na poziomie modelu, to czasem jesteśmy w stanie wskazać model. Najczęściej jednak jesteśmy w stanie powiedzieć jaki jest to producent. Tu rozwiązanie często opiera się o OUI, czyli taką część MAC adresu która określa producenta plus jakiś profil zapytań DHCP. Są oczywiście pewne rozszerzenia tego mechanizmu, można aktywnie skanować np narzędziem typu Nmap, Nessus, jest to relatywnie rzadko stosowane w praktyce – przynajmniej tej którą ja spotykam i widzę w implementacjach u klientów. Natomiast najczęściej używane jest profilowanie DHCP.

Nie jest to jedyna możliwość i tutaj co ciekawe opcja profilowania nie jest najczęściej jakaś super optymalna. Dlaczego? Dlatego, że jeśli mamy urządzenia, które bazują na jednym hardware, jednym systemie operacyjnym, ale świadczą różne usługi. Typowy przykład to są czujniki. Czujniki temperatury, czujnik światła, różne tego typu urządzenia, ale bazujące na tej platformie będą reprezentowane jako to samo urządzenie. W związku z tym nie za bardzo jesteśmy w stanie wtedy rozróżnić o co chodzi. Naszym celem jest rozróżnienie typów urządzeń, żeby móc ograniczyć profil dostępu do wymaganego zakresu. Jeżeli jest to czujnik temperatury, to aby było to urządzenie, które może się komunikować tylko z centralką dotyczącą mierzenia temperatury czy ogrzewania. Jeśli jest to jakiś czujnik dotyczący otwarcia okna to aby to było z odpowiednim urządzeniem, które kontroluje tego typu sygnały, np centralka alarmowa. Natomiast w przypadku, gdy hardware i ten system operacyjny na którym jest oparty jeden i drugi czujnik, jest taki sam, to nie jesteśmy w stanie rozróżnić.

Tutaj przychodzi nam z pomocą inny pomysł, który też widziałem jest implementowany, nowszy i wydaje się, że bardziej atrakcyjny. Mianowicie profilowane nie jest zapytanie DHCP, chociaż może to być nadal używane jako jeden z elementów, ale profilowany jest bardziej typ ruchu. Patrzymy do czego dane urządzenie się próbuje odnosić, czyli w tym momencie najpierw profilujemy je sobie na zasadzie spojrzenia, do czego ono się odnosi. Jeśli się odnosi np do kontrolera klimatyzacji, to kwalifikujemy je jako urządzenie, które współpracuje z systemem klimatyzacji. Jeżeli jest to kamera to współpracuje zapewne z rejestratorem. Więc jeśli łączy się do rejestratora to będziemy w stanie powiedzieć, że jest to tego typu urządzenie. Co więcej, gdy tego typu zachowanie się zmieni, czyli np kamera IP zaczyna nam skanować sieć a nie koniecznie łączy się tylko do rejestratora, to już mamy wskazanie do incydentu bezpieczeństwa. Prawdopodobnie coś się dzieje nie tak z profilem użycia. Urządzenie jest zhakowane i dzięki niemu ktoś próbuje dostać się do naszej sieci lub ktoś podmienił urządzenie np. podmieniając laptopa zamiast kamery, podmieniając zespoofowany MAC. Więc mamy tu już jakieś wskazanie, że nasz zespół czy człowiek odpowiedzialny za bezpieczeństwo sieci powinien zwrócić na to uwagę i przyjrzeć się sprawie.

Widać, że w tą stronę idzie całe rozwiązanie profilowania, więc jeżeli zastanawiasz się nad tym, w jaki sposób w dostępnie do sieci wykrywać te urządzenia, proponuję również sprawdzić, czy dane rozwiązanie ma wsparcie profilowania w oparciu o adresy IP do których się odnosi. Na dziś to tyle, dziękuję Ci za uwagę i do usłyszenia w przyszłym tygodniu.


Kurs NAP MT Basic - Chcesz poznać podstawy konfiguracji routera MikroTik? Przedsprzedaż tylko do 20.05.2022 '(piątek)' do 21:00

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.